朱军（雨花台）代表：

您好！由您提出的“关于启动南京市数据安全地方立法建议调研工作的申请”收悉，经研究，现答复如下：

 一、已经开展的主要工作

(一)数据安全立法、制度建设方面的现状

关于数据安全立法，国家层面制定了《数据安全法》《网络安全法》《个人信息保护法》《数据出境安全评估办法》《个人信息出境标准合同办法》《促进和规范数据跨境流动规定》等法律和部门规章，本省出台的《江苏省公共数据管理办法》有“公共数据安全”专章，制定中的《江苏省数据条例》有“数据安全和保障措施”专章，本市出台的《南京市政务数据管理暂行办法》有“安全保障”专章，制定中的《南京市城市数字治理若干规定》有“网络和数据安全”专门条款，体现了国家、省、市在数据立法时对于数据安全的高度重视。

数据安全管理制度持续建设和完善中。《中共中央　国务院关于构建数据基础制度更好发挥数据要素作用的意见》提出要“制定全国统一的数据交易、安全等标准体系”。今年，国家数据局还将出台安全治理等8个方面的制度。我局印发了《南京市政务数据安全规定实施细则》。

（二）具体工作开展情况

1.推动数据分级分类管理。市数据局根据《GB/T 43697-2024 数据安全技术 数据分类分级规则》《DB332/T 4608.1-2023 公共数据管理规范 第1部分：数据分类分级》的要求，结合南京市实际数据情况编制了《人口数据分类分级数据规范》，正在推进其作为南京市地标印发。结合数据目录编制开展公共数据分类分级工作，明确数据集领域类别及每个数据项的级别，实施分级管控。

2.服务指导数据跨境合规流动。一方面，根据国家网信办《数据出境安全评估办法》《个人信息出境标准合同办法》等规定，服务指导企业开展数据出境安全风险评估和个人信息出境标准合同备案。另一方面，立足我市“自贸试验区+服务业扩大开放”两大国家开放战略优势，在自贸区南京片区探索建立具有地方特色的数据跨境流通机制，指导建设数据跨境流动公共服务平台，力争打通数据出境安全评估和个人信息出境标准合同备案快捷受理通道，近期平台将会正式上线运行；在江北新区跨境电商产业园开展国家跨境数据专线安全管理试点，指导制定专线安全管理制度和技术措施，待完成专家论证并报中央网信办批准后，将按照流程正式开通运行。

3.建立完善政务数据安全应急处置机制，强化政务数据安全应急处置能力建设。一是着力做好云、网安全能力建设，不断强化政务外网、政务云和政务数据中心等基础设施安全防护。按照“两地三中心”架构部署要求，在同城部署了“双活”数据中心，在陕西商洛部署了灾备中心，实现市政务数据中心的同城双活加异地灾备部署，进一步提高了数据中心的安全性和可靠性。按照网络安全等级保护要求，在电子政务外网、政务云和政务数据中心部署防火墙、入侵检测、未知威胁感知、防病毒、堡垒机、蜜罐等安全防护系统。二是强化监测预警和处置响应能力。在互联网、政务外网互联网区、政务外网公用网络区，构建政务网络和数据安全的“三道防线”，部署边界安全、平台安全、接入安全、应用安全等安全系统，建设态势感知平台，针对全网安全元数据关联分析和威胁建模，深入挖掘分析安全事件，及时识别异常流量和事件活动，快速响应安全威胁。

4.强化政务数据安全缺陷、漏洞的风险监测能力。为加强政务数据安全缺陷、漏洞风险监测能力。我局建设了政务云安全能力资源池，为云上信息系统提供漏洞扫描、日志审计、数据库审计、网页防篡改等安全能力支撑，定期开展安全检查和渗透测试，发现并及时修复存在的系统漏洞。

5.加强数据安全检查评估。根据《网络安全标准实践指南—网络数据安全风险评估实施指引》，面向我市6个注册用户超1000万的大型互联网平台以及12个重点领域重要数据中心，组织相关责任单位开展网络数据安全检查评估，重点评估数据安全管理制度建立落实情况、个人信息保护要求落实情况、数据安全防护措施有效性以及数据处理活动合规性四个方面共21项内容，指导督促相关单位制定问题隐患整改计划、落实整改措施。配合省委网信办，抽查评估市内一家大型互联网企业数据安全工作情况，排查风险隐患、督促整改落实。

6.国家已有数据安全风险评估报告的格式模板。全国信息安全标准化技术委员会发布了《网络安全标准实践指南——网络数据安全风险评估实施指引》，其中对于数据安全风险评估内容有非常详细的规定，且提供了评估报告模板。

7.构建数据交易要素流通体系。一是推动政务数据共享、开放。我局制定了市政府规章《南京市政务数据管理暂行办法》，并配套印发了《南京市政务数据归集、共享、开放实施细则》，对于政务数据的共享、开放作出了较为详细的规定，从制度上为通过政务数据共享、开放实现政务数据流通提供保障。二是实现数据交易。依托南京市公共资源交易平台上线南京数据交易平台，提供数据产品登记、挂牌、磋商、签约及交易结算等全过程、公益性服务，积极探索数据交易平台运行机制。根据数据交易业务开展需要，参考和借鉴北京、上海、深圳、广州等地数交所的经验做法，结合南京实际，通过充分沟通市场主体，密切联系南京大学、金陵科技学院、数研院、律师协会、公证处等科研院所及专业机构，并多次征求意见后，研究制定“1+1+3”制度体系，即1个“交易规则”，1个“操作指引”，3个配套制度规范，包括“合规要素清单”、“数据交易安全规范”、“数商管理规范”，其中“交易规则”、“操作指引”及“合规要素清单”即将印发，“数据交易安全规范”及“数商管理规范”正在起草中。相关制度规范了各类主体数据交易全过程行为，明确了数据交易规则和管理规范，促进实现数据安全保护。

 二、下一步工作思路

1.持续完善数据基础制度。在公共数据授权运营和数据产权登记方面制定操作细则、建设平台、打造场景，开展重点探索。推动数据基础制度相关配套文件出台、平台建设、场景打造“三同步”，确保基础制度作用发挥。围绕数据交易流通，指导市公共资源交易中心加快健全数据交易流通系列制度规则，完善数据要素流通标准体系。

2.持续推进公共数据授权运营。研究出台《南京市公共数据授权运营实施细则》，细化授权运营工作流程和要求。完成授权运营管理平台搭建，验证平台能力。完成综合领域和部分重点行业领域数据专区建设，征集专区运营单位，推动基于应用场景的数据加工，鼓励公共数据和企业数据的融合开发利用，促进高价值数据产品生产流通。

3.进一步完善政务数据安全管理制度体系。按照“1+N+1”的制度框架，即1个管理实施细则，N个管理技术规范，1个监督检查办法，持续完善全市政务数据安全管理制度建设。

4.推动本市数据安全立法探索工作。今后将在《数据安全法》等国家法律法规的框架下，结合南京数据安全工作实际，继续由网信部门统筹协调各部门数据安全工作，推动本市数据安全立法探索工作。

南京市数据局

2024年7月25日